Weekly Threats N. 10 2023

Rassegna delle notizie raccolte quotidianamente dal CIOC di TS-WAY per il piano BASIC di TS-Intelligence.

In sintesi:

• NoName057(16): offensive DDoS colpiscono l’Italia
• Exprivia S.p.A.: attacco ransomware ai danni dell’azienda
• State-sponsored: nuove attività dal quadrante asiatico e mediorientale

 Questa settimana l’attività del gruppo hacktivista filorusso NoName057(16) è tornata a rivolgersi contro l’Italia. In particolare, il collettivo sul proprio canale Telegram ha rivendicato attacchi contro i Ministeri del Lavoro e delle Politiche Sociali, della Difesa e degli Affari Esteri, il Consiglio Superiore della Magistratura, l’Arma dei Carabinieri, l’Esercito Italiano e il Gruppo TIM. Fra le altre vittime compaiono anche portali polacchi, lituani, tedeschi, lettoni, ucraini, danesi e il sito della società britannica Urenco, operante nel settore dell’energia nucleare. Sempre di matrice hacktivista filorussa, il collettivo KillNet ha sferrato un’offensiva contro i siti dell’azienda tedesca Rheinmetall, attiva nel settore della Difesa.

Restando in Italia, la Digital Transformation Company Engineering ha rilasciato sul proprio sito un comunicato stampa nel quale dichiara di aver gestito un attacco informatico verificatosi ai danni di Exprivia S.p.A., società italiana specializzata in Information and Communication Technology. Secondo quanto riportato dall’azienda, l’incidente non ha interessato in alcun modo il perimetro Engineering ed è stato causato da un utilizzo illecito da parte degli avversari di una credenziale di accesso in uso a Exprivia. L’evento è stato immediatamente contenuto e ha interessato esclusivamente il perimetro di Exprivia, opportunamente segregato.

Passando al panorama state-sponsored, nuove attività sono emerse dal quadrante asiatico e mediorientale. Nel sud del continente asiatico, il pakistano Barmanou ha condotto una campagna di spionaggio, attiva molto probabilmente dal luglio 2022, volta alla distribuzione della backdoor CapraRAT principalmente contro utenti Android indiani e pakistani, presumibilmente con un background militare o politico. Spostandoci sul versante pacifico, è stata tracciata una nuova ondata dell’operazione di spionaggio cinese Sharp Panda identificata per la prima volta nel 2021 e rivolta contro entità governative del Sudest Asiatico, tra cui Vietnam, Indonesia e Thailandia. Inoltre, è stata individuata una presunta campagna di matrice cinese, attualmente tracciata sotto il cluster UNC4540, volta a garantire all’avversario una persistenza a lungo termine attraverso l’esecuzione di malware su dispositivi SonicWall Secure Mobile Access (SMA) non aggiornati. D’altra parte, in Corea del Nord, Lazarus Group è stato visto sfruttare una vulnerabilità 0-day di un software di certificazione coreano – comunemente utilizzato da istituzioni pubbliche e università – per colpire diverse aziende della penisola. Sempre riguardante Lazarus, un gruppo ad esso presumibilmente riconducibile – denominato UNC2970 – ha condotto attacchi di spear phishing volti a veicolare malware precedentemente non documentati prendendo di mira organizzazioni statunitensi ed europee dei settori tecnologico e dei media. Infine, per quanto riguarda il Medio Oriente, l’iraniano Charming Kitten è stato collegato a un’operazione di phishing rivolta contro ricercatori che documentano la soppressione dei diritti delle donne e delle minoranze in Iran.